マカフィーは7月7日、同社ブログにランサムウェア「Ryuk(リューク)」の新種を識別したと発表。ウェブサーバーを標的としており、分析や対応手段を公開している。
Ryukは2018年8月に初めて発見されたランサムウェア。対称AES(256ビット)暗号化と非対称RSA(2048ビットまたは4096ビット)暗号化の組み合わせを利用し、侵入したサーバーやPCのデータを暗号化し、ビットコインでの支払いを要求する。
感染経路は標的となる被害者に合わせて調整されており、スピアフィッシングメールやリモートアクセスシステムへの侵害された資格情報の悪用、マルウェア感染を使用した手法が取られている。
マカフィーATR(Advanced Threat Research)チームよると、サンプルは現在ウェブサーバーのみを標的としており、フィッシングメールでは攻撃者が被害者のネットワークを完全に侵害し続けるためのローダーおよびエントリーポイントとして機能する別のマルウェア株にリンクすることもできるなどの機能が追加され、被害を拡大しているという。
新しい身代金メモは、被害者に攻撃者との接触を容易にするためにTorブラウザーをインストールするように促す。ファイルの暗号化後、ランサムウェアはデフォルトのプリンターから身代金メモのコピーを50部印刷するといった特徴がある。
Ryukは”Ransom-Ryuk![partial-hash]”として検出される。同社ブログでは、セキュリティー担当者が攻撃の証拠となる指標を解説。また、対処方法として、エンドポイント保護を更新およびアップグレード、改ざん防止やロールバックなどのオプションを有効にすることを強く推奨。同社製品でランサムウェアから保護するためにENS10.7を最適に構成する方法を紹介している。
